GDPRのお勉強(第14条:個人データがデータ主体から取得されたものではない場合において提供される情報)

GDPR
2022.03.03
この記事は約13分で読めます。

 第13条は「データ主体から個人データが取得される場において提供される情報」でしたが、第14条は「個人データがデータ主体から取得されたものではない場合において提供される情報」です。

 具体的には、他の管理者から第三者提供を受けたりデータ主体以外から提供を受けたり、または公開情報などから収集する場合などが、「データ主体から取得されたものではない場合」に該当するため、第14条で定められている情報を提供する必要があります。

 第13条との相違に注意しながら見ていきますので、適宜、第13条もご確認ください。

GDPRのお勉強(第13条:データ主体から個人データが取得される場合において提供される情報)
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。今回は第13条の「データ主体から個人データが取得される場合において提供される情報」に関する説明です。
jibun-no.work
2022.03.01

第14条:個人データがデータ主体から取得されたものではない場合において提供される情報

1. 個人データがデータ主体から取得されたものではない場合、管理者は、データ主体に対し、以下の情報を提供する:

 データ主体から個人データを取得していない場合には、管理者はデータ主体に対し、以下の情報を提供する必要があります。

(a) 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。

 第13条と同じ要件です。
 何かあったときに問い合わせができるよう、管理者かその代理人の身元や連絡先の情報提供は当然ですよね。

(b) 該当する場合は、データ保護オフィサーの連絡先。

 これも第13条と同じ要件です。
 データ保護オフィサー(Data Protection Officer:DPO)については、別の機会で説明したいと思います。

(c) 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。

 これも第13条と同じ要件になりますが、利用目的と、その利用を適法とする法的根拠について情報提供する必要があります。
 通常は第6条第1項、特別な種類の個人データの場合は加えて第9条第2項の法的根拠も併せて情報提供します。

(d) 関係する個人データの種類。

 第13条第1項(d)は、『取扱いの法的根拠が第6条第1項(f)の「正当な利益」の場合には、その正当な利益を求める理由をデータ主体に情報提供する』という趣旨の要件でしたが、第14条第1項(d)では「関係する個人データの種類」となっており、第13条と異なっています。

 後述しますが、第13条第1項(d)の「正当な利益」に関するデータ主体への情報提供の要件は、第14条では第2項の(b)に移動しています。
 この場所の違いに意味があるのかは分かりません…

 第14条第1項(d)としては、氏名や住所といったデータ項目や、特別な種類の個人データが含まれているのか、といった情報を提供することが求められているものと思います。

 なお、この要件は第14条のみに存在するものです。
 管理者がデータ主体から個人データを取得しているのであれば、データ主体からすると自分のどのような個人データが管理者に取得されるのかを把握することができますが、そうでなければ、自分のどのような情報を管理者が保有しているか知ることができないので、この「関係する個人データの種類」の情報提供が第14条に入っているのは妥当性がありますね。

(e) もしあれば、個人データの取得者又は取得者の類型。

 ここは第13条と同じです。
 取得した個人データを第三者提供したり、処理者に提供する場合などは、その取得者または類型についてデータ主体に情報提供する必要があります。

(f) 該当する場合は、管理者が個人データを第三国又は国際機関の取得者に対して移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。

 これも第13条と同様の要件です。
 EU/EEA域内から域外へデータを移転する場合には、適切な方法に準拠して実施する必要があるのですが、どのような方法により適切に移転するかという情報をデータ主体に情報提供する必要があります(越境移転に関しては別の機会に説明したいと思います)。

 さらに第2項に続きます。

2. 第1項に定める情報に加え、管理者は、データ主体に対し、データ主体に関して公正かつ透明性のある取扱いを確保するために必要な以下の情報を提供する。

 ということで、第1項の(a)~(f)に加え、以下の(a)~(g)についても、データ主体に対し情報提供をする必要があります。

 第13条第2項は(a)~(f)までしかありませんでしたが、第14条第2項では(g)まで存在し、数としては要件が一つ増えています。

(a) その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。

 ここは第13条と同じです。
 個人データの保存期間について、できればその期間を、それが言えない場合は保存する機関の目安をデータ主体に情報提供する必要があります。

(b) その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。

 前述した通り、第13条では第1項(d)にあった当該要件が、第14条では第2項(b)で定められています。

 第6条第1項の取扱いの法的根拠を(f)の「正当な利益」とした場合、管理者または第三者が求める正当な理由を、データ主体に情報提供することが求められています。

(c) 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。

 これは、第13条第2項の(b)と同じ内容です。
 第14条第2項(b)に第13条第1項(d)の「正当な利益に関する情報提供」が入ったことで、項番がずれたためです。

 第15条から第20条までのデータ主体の権利について情報提供する必要があります。

(d) その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。

 第13条第2項(c)と同じ内容です。項番がずれているのは、上の(c)と同じ理由です。

 データ主体による同意を取扱いの法的根拠とした場合は、いつでもその同意を撤回できる旨について情報提供する必要があります(同意撤回までに実施した取扱いについては適法のまま)。

(e) 監督機関に異議を申立てる権利。

 第13条第2項(d)と同じ内容です。項番がずれているのは、上の(c)と同じ理由です。

 データ主体は監督機関に異議を申し立てる権利があることを、データ主体に情報提供する必要があります。

(f) どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。

 この内容は第14条特有の要件となります。
 個人データをどこから取得したのかについての情報をデータ主体に提供することとされています。
 また、その情報源が公衆によりアクセスできるものであれば、その旨も伝える必要があるとされています。

 なお、色々な情報源から個人データが形成され、具体的なデータの情報源をデータ主体に情報提供できない場合には、「一般的な情報が提供されなければならない」と前文第61項に記載されています(具体的な情報源でなく少し抽象的な説明でも良いということかと理解しています)。

 データ主体からすると、管理者がどのように自分の個人データを取得したのかは気になるところだと思いますので、第14条にこの要件が追加されているのは妥当だと思います。

(前略)様々な情報源が用いられたために、データ主体に対してその個人データの入手元を示すことができない場合には、一般的な情報が提供されなければならない。

一般データ保護規則(GDPR)の前文 第61項 個人情報保護委員会にる仮日本語訳

(g) プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。

 これは第13条第2項(f)と同じ内容となります。

 プロファイリングに基づく自動化された意思決定を行う場合には、以下についてデータ主体に提供しなければなりません。

  • プロファイリングに基づく自動化された意思決定を行う旨
  • 自動化される処理の論理(アルゴリズム)
  • データ主体への重要性およびデータ主体に生じると想定される結果

 以上のとおり見てきた第13条と第14条で定められた要件を、その内容から比較してみると、以下のように整理できます。

共通する内容

  • 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先
  • 該当する場合は、データ保護オフィサーの連絡先。
  • 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。
  • 扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
  • もしあれば、個人データの取得者又は取得者の類型。
  • 該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。
  • その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
  • 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。
  • その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。
  • 監督機関に異議を申立てる権利。
  • プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、これが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。

どちらかで固有の内容

  • その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か、及び、そのデータの提供をしない場合に生じうる結果について。(第13条のみ)
  • 関係する個人データの種類。(第14条のみ)
  • どの情報源からその個人データが生じたか、及び、該当する場合は、公衆がアクセス可能な情報源からその個人データが来たものかどうか。(第14条のみ)

3. 管理者は、以下のとおりに、第1項及び第2項に定める情報を提供する。

 第3項では、第1項と第2項で定められたデータ主体への情報提供の実施時期について定められています。

(a) その個人データが取扱われる具体的な状況を考慮に入れ、個人データ取得後の合理的な期間内。ただし、遅くとも1か月以内。

 「個人データが取扱われる具体的な状況を考慮に入れ」とあるので、個人データを取扱うより前に情報提供するのが望ましいように思いますが(私見)、遅くともデータ取得後の1か月以内とされています。

(b) その個人データがデータ主体との間の連絡のために用いられる場合、遅くとも、当該データ主体に対して最初の連絡がなされる時点において。又は、

 取得した個人データを用いてデータ主体にコンタクトを取る場合は、そのファーストコンタクトの時に情報提供しなければならないとされています。

(c) 他の取得者に対する開示が予定される場合、遅くともその個人データが最初に開示される時点において。

 個人データを他の取得者に開示・提供することを予定している場合は、その開示・提供の実施までにデータ主体への情報提供を済ませておく必要があります。

 データ主体への情報提供のタイミングについては、前文第61項に整理されていますので、以下に引用しておきます。

データ主体に関する個人データの取扱いに関係する情報は、データ主体からの収集の時点において、又は、個人データが他の情報源から取得される場合には、事案の状況に応じて合理的な期間内に、当該データ主体に対して与えられなければならない。個人データが別の取得者に対して正当に開示されうる場合、そのデータ主体は、その個人データがその取得者に対して最初に開示される時に通知を受けるものとしなければならない。個人データが収集された目的とは別の目的のために管理者がその個人データを取扱いしようとする場合、その管理者は、別の目的による追加的取扱いの開始前に、そのデータ主体に対し、当該別の目的に関する情報及びその他の必要な情報を提供しなければならない。様々な情報源が用いられたために、データ主体に対してその個人データの入手元を示すことができない場合には、一般的な情報が提供されなければならない。

一般データ保護規則(GDPR)の前文 第61項 個人情報保護委員会にる仮日本語訳

4. 当該個人データが入手された際の目的とは別の目的のための個人データの取扱いを管理者が予定する場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第2項に定める関連する付加的な情報を提供する。

 これは第13条第3項と同じ内容です。

 GDPRでは利用目的の変更が認められているのですが、目的を変更する場合には、変更後に個人データを取扱う前に、データ主体に対し、変更後の目的に関する情報と変更後の目的に関わる第2項で定められた情報を追加的に提供しなければならないことになっています。

5. 第1項から第4項は、以下の場合、その範囲内では、適用されない。

 第5項は、第14条の例外規定となっています。
 以下の(a)から(d)に該当する場合、第1項から第4項までで定められた規則は適用されません。

(a) データ主体が既にその情報をもっている場合。

 これは第13条第4項に似た内容ですが、既にデータ主体が第1項から第4項で定められた「提供されるべき情報」を持っている場合には、あらためて情報提供をする必要はありません。

(b) 特に、第89条第1項に定める条件及び保護措置による公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のための取扱いに関し、そのような情報の提供が不可能であるか、又は、過大な負担を要することが明らかな場合、又は、本条第1項に定める義務が当該取扱いの目的の達成を不可能としてしまうおそれ、又は、それを深刻に阻害するおそれがある範囲内において。そのような場合、その管理者は、その情報を公衆が利用可能とすることを含め、データ主体の権利及び自由並びに正当な利益を保護するための適切な措置を講ずるものとする。

 第89条第1項の条件および保護措置を踏まえた上で、公共の利益による保管目的、科学研究もしくは歴史的研究の目的、または統計の目的のために取扱われる場合で、データ主体への除法提供が不可能または過大な負担を要することが明らかな場合などでは、第14条に基づくデータ主体への情報提供は求められません。

(c) 管理者がそれに服し、かつ、データ主体の正当な利益を保護するための適切な措置を定めるEU法又は加盟国の国内法によって、その入手又は開示が明示で定められている場合。

 管理者が遵守しなければならない他のEU法または加盟国法で、その個人データの入手や開示が定められている場合には、第14条に基づくデータ主体への情報提供は求められません。

(d) 制定法上の守秘義務の場合を含め、EU法又は加盟国の国内法によって規律される職務上の守秘義務によって、その個人データを機密のものとして維持しなければならない場合。

 EU法または加盟国法により職業上の守秘義務などにより、その個人データを機密のものとして維持しなければならないとされている場合は、第14条に基づくデータ主体への情報提供は求められません。

 この例外規定については、前文第62項でも記されていますので、ご参考までに引用しておきます。

ただし、データ主体が既にその情報を保有している場合、その個人データの記録若しくは開示が法律によって明確に定められている場合、又は、データ主体に対する情報の提供が明らかに不可能であるか、若しくは、過大な負担を生じさせるような場合、情報を提供すべき義務を課す必要はない。特に、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために取扱いが行われる場合、データ主体に対する情報の提供が明らかに不可能であるか、若しくは、過大な負担を生じさせるような場合に該当しうる。この点に関し、データ主体の人数、データの経過年数及び導入されている適切な保護措置が考慮に入れられなければならない。

一般データ保護規則(GDPR)の前文 第62項 個人情報保護委員会にる仮日本語訳

 以上、第14条でした。

GDPRのお勉強:一覧
医療データや治験データなどの健康医療関連データの取り扱いに特に注意を払いながらGDPRを勉強していきます。
jibun-no.work
タイトルとURLをコピーしました